Что относится к персональным данным

Что относится к персональным данным

Разъяснения законодательства в сфере защиты прав субъектов персональных данных

Вопрос: Что относится к персональным данным?

Ответ: Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее.

Вопрос: Какие действия являются обработкой персональных данных?

Ответ: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Вопрос: Кто является оператором персональных данных?

Ответ: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: Является ли обработкой персональных данных размещение на сайтах в сети Интернет фотографии без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети Интернет фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.

Вопрос: Является ли нарушением законодательства размещение в холле жилого дома списка должников по коммунальным услугам, в котором указаны номер квартиры и сумма долга, без указания ФИО?

Ответ: По смыслу положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» номер квартиры и сумма долга не позволяют прямо или косвенно определить конкретное физическое лицо (субъекта персональных данных). Учитывая изложенное, размещение сведений о номере квартиры и сумме долга не является нарушением законодательства в области персональных данных.

Время публикации: 13.12.2016 14:31
Последнее изменение: 23.05.2019 11:01

Что такое персональные данные

Понятие персональных данных и правовое регулирование

Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.

Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.

Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?

Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.

Читайте о том, что представляет собой обработка персональных данных, в специальном материале.

На основании п. 2.5 Методрекомендаций к личным данным относятся:

• имя, отчество и фамилия гражданина;
• дата его рождения (число, месяц и год);
• место рождения;
• адрес регистрации или место фактического проживания;
• сведения о семейном положении и детях;
• социальное положение;
• данные об имуществе;
• размер и источники дохода;
• сведения об оконченных учебных заведениях;
• профессия и занимаемая должность.

При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.

Ознакомиться с экспертным определением понятия персональных данных, а также с ключевыми особенностями их обработки на практике вы можете в специальном материале, размещенном в системе «КонсультантПлюс». Получите пробный доступ к нему бесплатно.

Иные персональные данные

Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:

1. Специальные категории личных данных, в том числе расовая принадлежность и национальность, политическая позиция, религиозные убеждения, философские взгляды, состояние здоровья и интимной жизни человека.
2. Биометрические сведения, которые характеризуют человека с биологической или физиологической точки зрения. К таковым, например, можно отнести отпечатки пальцев, сетчатку глаза и т. п.

ВАЖНО! С 01 сентября 2022 года вступили в силу новые требования к обработке персональных данных в соответствии с законодательством.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона — это персональные сведения.

Электронная почта

Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит адрес электронной почты, электронный адрес не относится к персональным данным.

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

Подробнее о критериях отнесения адреса электронной почты и номера телефона к персональным данным читайте в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Таким образом, правомерно говорить о том, что номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека. Вместе с тем заслуживает внимания формулировка, приведенная в письмах Минфина России от 12.02.2020 № 03-01-11/9505, от 28.01.2020 № 03-01-11/4925. Там ведомство прямым текстом указывает, что ИНН не является информацией, входящей в перечень персональных данных, и применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов.

Но в целях исключения разногласий с проверяющими органами ИНН и иные государственные идентификаторы стоит по умолчанию рассматривать в качестве персональных данных. Как следствие, принимать все предусмотренные законом меры по их защите от несанкционированного использования.

Итоги

Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.

Сбор персональных данных – теперь это мрак [обновлено]

Отчеты нужно предоставлять в Роскомнадзор вовремя, иначе накажут.

Начиная с 1 сентября 2022 года о сборе персональных данных нужно сообщать в Роскомнадзор. И не постфактум, а до начала их обработки. Думаете, вашу компанию это не касается? Еще как касается!

Ваша компания захотела провести электронный опрос покупателей (и те должны оставить ФИО и телефон/электронный адрес). Вы решили провести в онлайне конкурс с призами. Вы решили провести конференцию и собираете заявки…

Обо всем этом надо отчитываться. Причем до мероприятия!

И не важно, представляете ли вы компанию, являетесь индивидуальным предпринимателем, самозанятым или обычным гражданином – отчитываться должны все, кто намерен собирать и обрабатывать персональные данные.

Что, как и когда делать – подробно расписано в федеральном законе от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Но, как обычно, там много букв на трудном языке, поэтому вот ответы на главные вопросы, которые появились у вас после прочтения первого абзаца и будут появляться дальше, пока вы не дочитаете статью.

Спойлер: все не так страшно, и TexTerra знает законный (хоть и странный) способ собирать данные и ни перед кем не отчитываться. Подойдет он не всем и не во всех случаях.

1. ФИО и номер телефона – это персональные данные?

ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.

Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).

В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров

2. Какие еще исключения?

Подотчетным является сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.

3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?

Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.

Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.

4. Какой еще штраф? Сколько?

Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.

Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.

5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?

Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес rsoc_in@rkn.gov.ru, через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.

Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.

Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.

6. Как составить уведомление?

Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

В уведомлениях нужно указывать:

• название компании или ФИО лица, собирающего данные,
• правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
• цель обработки персональных данных,
• категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
• категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
• перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
• описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
• дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
• сроки и/или условия прекращения обработки данных,
• планируется или нет передача персональных данных за рубеж,
• местонахождение базы данных,
• сведения об обеспечении безопасности персональных данных.

7. Для чего Роскомнадзору нужны наши уведомления?

Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.

Нововведения от 1 марта 2023 года

Первое. Отправка персональных данных в другую страну (например, туроператорами при бронировании отеля, импортерами при заключении контрактов) является трансграничной передачей, и о ней теперь нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ .

Роскомнадзор рассмотрит передачу в течение 10 дней и либо одобрит ее, либо запретит. Велика вероятность, что Роскомнадзор передачу данных запретит, если речь идет о стране без адекватной защиты данных (перечень стран с адекватной защитой вы найдете здесь). Чтобы увеличить шансы на получение разрешения, нужно получить от контрагента сведения по списку в п. 5 ст. 12 закона № 152-ФЗ, которые Роскомнадзор может затребовать.

Второе. Изменились сроки уведомления Роскомнадзора при изменениях у оператора персональных данных: наименования, адреса оператора, целей обработки персональных данных, составе персональных данных, о начале или прекращении трангсраничной передачи.

Если раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений, то с 1 марта 2023 года – до 15-го числа следующего месяца.

Третье. Изменилась форма уведомления об утечке персональных данных. С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, где расписано и то, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.

Четвертое. Согласно приказу ФСБ России от 13.02.2023 № 77 сообщать о компьютерных инцидентах нужно непосредственно в НКЦКИ в течение 24 часов.

Пятое. Теперь оператор должен оценивать степень потенциального вреда субъекту персональных данных (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ). Требования к оценке изложены в приказе Роскомнадзора от 27.10.2022 № 178.

Шестое. Оператор должен уничтожить персональные данные в трех случаях (ст. 21 закона № 152-ФЗ):

выявлен факт их неправомерной обработки,

цели, для которых собиралась личная информация, достигнуты,

отзыв согласия на обработку персональных данных.

Факт уничтожения персональных данных нужно подтвердить документами (приказ Роскомнадзора от 28.10.2022 № 179).

Седьмое. До 2030 года действует мораторий на плановые надзорные мероприятия, но при утечках персональных данных мораторий не действует и Роскомнадзор придет с внеплановой проверкой.

Вывод

В общем все, кто собирает персональные данные и заносит их в компьютер, должны отсылать уведомления в Роскомнадзор до начала сбора данных.

Исключением же стала только бумага, на которой можно на законных основаниях записывать любые персональные данные людей и составлять любые договоры (только без занесения данных в компьютер).

Какие данные являются персональными: позиция суда

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

См. статью «Организуем работу с персональными данными сотрудников» в № 2’ 2015

См. статью «Работа с персональными данными клиентов» в № 3’ 2015

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1 . По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно.